Перейти к содержанию

Шифровальщик. Жесть

quake-1000
 Share

Рекомендуемые сообщения

quake-1000 Новичок

quake-1000

Опубликовано
Опубликовано

Здравствуйте.

Поймал вирус шифровальщик. Изначально заражен был телефон на андройде. Далее заразился роутер через wifi. Возможно было наоборот.

Через роутер заразилось 3 компа с разными ос (7, 10, mint).

Получает права администратора. Блокирует все подозрительные действия. На роутере включил samba.

На винте сделал невидимые точки монтирования.

Шифранул немного файлов (то что успел).

Другие винты просто подвинул mbr.

При загрузке с live cd записывает сам вторую сессию даже если диск закрыт. Потом грузится вместе с ним.

Mhdd вначале не видит винт. На все реагирует abort. Когда вирус погружается - винт видится с паролем.

Хотел низкоуровневое форматирование сделать.

На одном из ноутов снял жесткие. Гружусь с чистого live dd- все равно откуда то лезет.

Были дампы вируса, все что смогу отправлю ниже.

Пока прикладываю возможный вариант по андройду.

Архив. Пароль FKTYRF

https://yadi.sk/d/GSPWCUnd3U8QkM

https://yadi.sk/d/ePQNCFbj3U9kkZ

Возможно заражен Яндекс диск. В папке синхронизации замечена папка с названием ".что-то" скрытая

Пишу с зараженого телефона. Жесть. Ни чё не работает.

Позже скину дампы, результаты проверок.

Еще что-то:

https://yadi.sk/d/5vQNQsK-3U9mdF

 

Пароль тотже

Ссылка на комментарий
Поделиться на другие сайты
kmscom Мудрец

kmscom

Опубликовано
Опубликовано

лечение выполняется только на ПК с Windows
внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
quake-1000 Новичок

quake-1000

Опубликовано
  • Автор
Опубликовано

Перепрошивка через веб морду роутера ничего не дает.

Телефон тоже только полная перепрошивка. Но еще не факт, может еще глубже сидит

Сейчас виндовс поставлю

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

1. Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

>> Модифицирован ключ запуска проводника
>> Повреждены настройки SafeBoot
 

2. Удалите остатки от Dr.Web с помощью этой https://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe утилиты в безопасном режиме

 

3. Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
quake-1000 Новичок

quake-1000

Опубликовано
  • Автор
Опубликовано (изменено)

Новые логи


На 2х компьютерах он перепрошил или ограничил BIOS.

Из лайв сд под дос удалось увидеть несколько файлов прошивальщиков биоса.

тепепь даже при загрузке с лайв сд он уже присутствует в системе.

монтирует диск B:\

не понятно откуда он берет образ. Жесткие диски отключены физически. куда копать, может подскажите?

CollectionLog-2018.04.07-10.07.zip

Изменено пользователем quake-1000
Ссылка на комментарий
Поделиться на другие сайты
quake-1000 Новичок

quake-1000

Опубликовано
  • Автор
Опубликовано (изменено)

Шифрованных файлов как таковых пока нет.

Он просто архивы пока переименовывает в вид $abc.zip .iso и кладет в папку корзины.

Сдвинул mbr на диске.

Есть вроде как образ его диска, откуда он все тянет.

Ссылка:

1 Файл - https://mega.nz/#!TLIkSSYZ!m3_YhkhnthnglwIGlc_sKHAKS2iafl9OqeHCJ_xTfbU

2 файл - https://mega.nz/#!Ge40Cb4Y!wXgF8TeuBUrpvBScqFy5Gk9P6HSaeclRXDG-jkZi_o4

Пароль отправлю в л/с. Заархивирован дважды.

Изменено пользователем quake-1000
Ссылка на комментарий
Поделиться на другие сайты
  • 4 weeks later...
quake-1000 Новичок

quake-1000

Опубликовано
  • Автор
Опубликовано (изменено)

Ничего нового, кроме компьютера.

Новые логи


удалил smart switch, express vpn

CollectionLog-2018.05.07-04.55.zip

CollectionLog-2018.05.07-05.12.zip

Изменено пользователем quake-1000
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      Шифровальщик just
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • Irina4832
      Шифровальщик
      От Irina4832
      Помогите! Все файлы зашифровали, онлай определители типа шифровщика его не находят
      qbpBqR1L6.README.txt
    • kokc1979
      Шифровальщик ooo4ps bitlocker
      От kokc1979
      Подхватил заразу. Вчера всё работало. Сегодня вечером обнаружилась проблема с шифровалкой. Ни какое ПО в этот промежуток ремени не устанавливалось. Ни чего не скачивалось.
      Log.rar 3File.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
×
×
  • Создать...